Beretning om statens it-beredskab

04-11-2022

Beretning nr. 3/2022

Beretningen handler om statens it-beredskab.

Formålet med undersøgelsen er at vurdere, om staten har et tilfredsstillende it-beredskab for udvalgte samfundskritiske it-systemer, så staten kan opretholde samfundskritiske funktioner i tilfælde af større it-hændelser. Derudover har vi undersøgt Digitaliseringsstyrelsens vejledningsindsats vedrørende it-beredskab.

Rigsrevisionen vurderer, at de undersøgte myndigheder ikke har sikret et tilfredsstillende it-beredskab for 13 udvalgte samfundskritiske it-systemer. Særligt er it-beredskabet utilfredsstillende for én af de undersøgte myndigheder, hvor undersøgelsen har omfattet flere it-systemer. Konsekvensen af manglerne i it-beredskabet er, at der er risiko for, at it-nedbrud og datatab medfører, at staten ikke kan opretholde eller markant får forstyrret samfundskritiske opgaver.

Rigsrevisionen har igangsat undersøgelsen i oktober 2021 på baggrund af en anmodning fra Statsrevisorerne.

Kort fortalt (PDF) Hele beretningen (PDF)

Statsrevisorernes bemærkning til beretningen

Den 4. november 2022 behandlede Statsrevisorerne

Beretning nr. 3/2022 om statens it-beredskab

Statsrevisorerne afgav beretningen til Folketinget med følgende bemærkning:

"Statsrevisorerne har anmodet om denne undersøgelse af, om staten har et tilfredsstillende it-beredskab.

Undersøgelsen viser, at it-beredskabet for 13 udvalgte samfundskritiske systemer er så utilfredsstillende, at det har været nødvendigt for Rigsrevisionen at afgive en fortrolig beretning herom til Statsrevisorerne og i forlængelse heraf denne korte beretning.

Statsrevisorerne kritiserer, at de undersøgte myndigheder ikke har et tilfredsstillende it-beredskab, der kan sikre, at en række samfundskritiske opgaver uforstyrret og fortsat kan løses, selv om der skulle ske større it-nedbrud eller datatab.

Statsrevisorerne finder det særdeles nødvendigt, at de undersøgte myndigheder hurtigst muligt får rettet op på de mangler i it-beredskabet, som Rigsrevisionen har påpeget. Det gælder ikke mindst udarbejdelse af tilfredsstillende reetableringsplaner, der kan sikre, at myndighederne hurtigt kan vende tilbage til normal drift i tilfælde af større it-nedbrud, hackerangreb, fysiske skader e.l.

Statsrevisorerne forventer, at alle de statslige myndigheder på baggrund af denne beretning undersøger og sikrer et effektivt it-beredskab. Statsrevisorerne vil desuden følge op med yderligere beretninger om it-beredskabet for andre samfundskritiske it-systemer.

Selv om ministeriernes svarfrist er lovbestemt til mindst 2 måneder, finder Statsrevisorerne, at de ansvarlige ministre bør komme med deres redegørelse hurtigst muligt og helst inden 1 måned, da Rigsrevisionen har konstateret meget alvorlige sikkerhedsbrister i de 13 samfundskritiske systemer."

Ministerredegørelse

Transportministerens redegørelse af 2. januar 2023

Rigsrevisionens notat af 10. februar 2023

Rigsrevisionen følger i dette notat op på beretning nr. 3/2022 om statens it-beredskab.

Notatet er baseret på redegørelser fra de undersøgte ministerier og handler om de initiativer, som ministrene har iværksat eller vil iværksætte som følge af beretningen.

Rigsrevisionen vil fortsat følge udviklingen og orientere Statsrevisorerne om:

myndighedernes grundlag for it-beredskabet i form af kortlægninger og risikovurderinger af de udvalgte samfundskritiske it-systemer
myndighedernes arbejde med at sikre tilfredsstillende reetableringsplaner for de 13 udvalgte samfundskritiske it-systemer
myndighedernes arbejde med at sikre tilfredsstillende tests af reetableringsplanerne for de 13 udvalgte samfundskritiske it-systemer
myndighedernes arbejde med at implementere tilfredsstillende it-krisestyringsplaner og test af planerne.

Nogle af opfølgningspunkterne vedrører alle myndigheder, der indgik i undersøgelsen, mens andre opfølgningspunkter vedrører nogle af myndighederne.

Rigsrevisionen vil også følge udviklingen og orientere Statsrevisorerne om:

ministeriernes tilsyn med it-beredskabet hos deres myndigheder.

Hele notatet (PDF)

Statsrevisorernes bemærkning til Endelig betænkning af 20. februar 2023

Beretning nr. 3/2022 om statens it-beredskab

Sagen optages i Endelig betænkning 2022 som fortsat sag med følgende statsrevisorbemærkning:

"Statsrevisorerne konstaterer, at de undersøgte myndigheder har iværksat hurtige og relevante tiltag, der skal rette op på de alvorlige mangler i it-beredskabet, som Rigsrevisionen har påpeget.

Statsrevisorerne og Rigsrevisionen vil følge udviklingen tæt, ikke mindst myndighedernes udarbejdelse og test af reetableringsplaner, der kan sikre, at myndighederne hurtigt kan vende tilbage til normal drift i tilfælde af større it-nedbrud, hackerangreb, fysiske skader e.l.

Statsrevisorerne konstaterer, at de ansvarlige ministre med en enkelt undtagelse har fundet det nødvendigt at afgive deres redegørelse til beretningen i fortrolig form. Statsrevisorerne har bedt de ansvarlige ministre om at oplyse, hvornår beskyttelseshensynet efter forvaltningsloven og/eller straffeloven ikke længere er til stede, og fortroligheden kan ophæves, hvorefter beretningen – og dermed oplysninger om, hvilke ministerier og hvilke it-systemer den omhandler – kan offentliggøres.

Statsrevisorerne sendte i november 2022 en opfordring til alle ministre om at styrke it-beredskabet. Statsrevisorerne og Rigsrevisionen fandt på baggrund af beretningen, at det er påkrævet, at alle ministerier identificerer, hvilke samfundskritiske it-systemer der er på ministerområdet og gennemgår it-beredskabet for systemerne. Statsrevisorerne forventer således, at alle ministerier undersøger og sikrer et effektivt it-beredskab for ministeriets samfundskritiske it-systemer."

Rigsrevisionens notat af 19. september 2023